原文標題《Getting Ready for Post-Quantum Cryptography: Exploring Challenges Associated with Adopting and Using Post-Quantum Cryptographic Algorithms》
原文鏈接 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04282021.pdf

摘要：

加密技術在整個政府和行業中都被用于驗證來源，并保護我們通信和存儲的信息的機密性和完整性。本文描述了量子計算技術對經典密碼學的影響，特別是對公鑰密碼系統的影響。本文還介紹了標準化過程完成后與后量子密碼學相關的采用挑戰。討論了遷移到后量子密碼學的規劃要求。本文最后介紹了NIST幫助向后量子密碼學遷移的下一步步驟。

加密技術

加密技術在整個政府和行業中都被用于驗證來源，并保護我們通信和存儲的信息的機密性和完整性。加密技術包括廣泛的協議、方案和基礎設施，但它們依賴于相對較小的加密算法集合。密碼算法是這些加密技術核心的信息轉換引擎。

加密算法是轉換數據的數學函數，通常使用一個稱為密鑰的變量來保護信息。這些關鍵變量的保護對受保護的數據的持續安全至關重要。在對稱加密算法的情況下，加密保護信息的發起者和接收者都使用相同的密鑰。對稱密鑰必須保持秘密以保持保密性；任何具有該密鑰的人都可以恢復未受保護的數據。不對稱算法要求發起者使用一個密鑰，而收件人使用不同但相關的密鑰。其中一個非對稱密鑰（私鑰）必須保密，但另一個密鑰（公鑰）可以在不降低加密進程安全性的情況下公開。這些非對稱算法通常被稱為公鑰算法。

對稱算法提供了保密性和完整性的高效處理，但密鑰管理（即建立和維護只有通信各方已知的秘密）構成了一個挑戰.對稱算法提供了較弱的起源證明，因為交換的任何一方都可以計算變換。非對稱算法通常需要更多的處理操作和時間，而不是提供超過非常少量的數據的保密保護。然而，這些算法對于加密密鑰的建立和數字簽名過程都是實用的。在公鑰密碼學的情況下，一對中的一個密鑰可以被公開，并且不需要分發私鑰。不對稱密鑰算法可以用于建立成對密鑰，并對多對多通信中驗證實體和/或數據源，而不需要密鑰分發的秘密通道。因此，大多數加密實體或數據源身份驗證和密鑰建立功能都使用公鑰加密。

量子計算技術對經典密碼學的影響

不時地，發現密碼學的弱點，依賴技術所施加的限制，或支持密碼分析的技術的進步，使得有必要進行替換傳統的加密算法。我們所依賴的大多數算法在世界各地許多不同的通信、處理和存儲系統的組件中使用。

許多信息系統缺乏加密貨幣的敏捷性——也就是說，它們的目的不是支持在不進行系統的基礎設施重大改變的情況下，快速適應新的密碼原語和算法。因此，一個組織可能無法完全控制其加密機制和流程（完全控制它就可以對它們進行準確的修改，而不需要密集的手工努力）。

當一些系統的一些組件往往會被相對頻繁的改進的組件所取代（如，手機），其他預計零部件將持續工作10年或更長時間（如，發電配電系統的部件）。通信互操作性和記錄歸檔需求對系統組件引入了額外的限制。一般來說，在系統的所有組件都準備好處理替換之前，加密算法不能被替換。在引入新的加密算法時，通常必須實現對協議、方案和基礎設施的更新。因此，算法替換可能具有極大的破壞性，通常需要幾十年才能完成。

量子計算發展的持續進展預示著一個特別具有破壞性的密碼轉變。所有廣泛使用的公鑰密碼算法理論上都容易受到基于Shor算法的攻擊，但該算法依賴于只能通過大規模量子計算機實現操作。當實用的量子計算網絡對手時，幾乎所有現代公鑰密碼系統的安全性都將被打破。

因此，所有現在使用當前公鑰算法保護的秘密對稱密鑰和私鑰非對稱密鑰，以及這些密鑰下保護的信息，都將被暴露。這包括受這些公鑰算法保護的所有記錄的通信和其他存儲信息。任何仍然被認為是私人的或其他敏感的信息都將容易受到暴露和未被發現的修改。

一旦利用Shor的算法成為現實，保護存儲的密鑰和數據將需要使用抗量子算法重新加密它們，并刪除或物理保護“舊的” 副本（如，備份）。完整性和信息源將變得不可靠，除非它們被使用一種不易受量子計算（攻擊）影響的機制處理或封裝（例如，重新簽名或加蓋時間戳）。無法采取任何措施來保護以前由對手存儲的加密材料的機密性。

許多密碼學研究人員已經為算法的發展做出了貢獻，這些算法的安全性不會被Shor的算法或其他已知的量子計算算法所降低。這些算法有時被稱為量子抵抗，但我們對量子計算能力的理解幾乎肯定是不完整的。本文介紹了 一個為存在實際量子計算的世界設計的加密算法——后量子算法。

后量子密碼學

反映在NIST’s 2016 Report on Post-Quantum Cryptography和2020 Status Report on the Second Round of the NIST Post-Quantum Cryptography Standardization Process，后量子公鑰密碼標準的開發工作正在進行中，而算法的選擇過程也盡在掌握。算法的選擇預計將在未來一兩年完成，關于標準和實施準則的工作將迅速進行。然而，經驗表明，在最好的情況下，在密碼標準發布后將需要5到15年或更長時間，才能全面實施這些標準。不幸的是，后量子公鑰標準的實現可能比引入新的經典密碼算法更有問題。在缺乏重要的實施規劃的情況下，社區可能需要幾十年才能取代目前正在使用的大多數脆弱的公鑰系統。

目前需要公鑰密碼學的最關鍵的功能是密鑰建立（即密鑰的安全生成、獲取和管理）和數字簽名應用程序。理想的方法是用“插入”替換量子脆弱算法(如RSA和Diffie-helhelman)。后量子密碼學有多個候選類。不幸的是，每個類都至少有一個安全實現的要求使得插入替換不合適。

例如，一些候選對象具有過大的簽名大小，涉及過度的處理，需要非常大的公鑰和/或私鑰，需要在發送方和接收方之間進行不對稱的操作以及要求應答者根據發起者的公共價值生成消息，以及/或涉及與計算結果相關的其他不確定性。根據算法和使用該算法的操作，即使在所有參數實現正確的情況下，安全實現可能需要解決諸如公鑰驗證、公鑰重用、解密失敗等問題，需要選擇新的輔助功能（如哈希函數與公鑰算法一起使用的數字簽名）。即使在可能進行安全操作的情況下，性能和可伸縮性問題也可能需要對協議和基礎設施進行重大修改。

與后量子密碼學相關的挑戰

正如在 Lidong Chen 的文章中所討論的那樣，由于不同的實現約束，未來的后量子密碼學標準很可能會為不同的應用程序指定多種算法（如，對大簽名大小或大密鑰的敏感性）。例如，簽名或密鑰大小對于某些應用程序可能不是問題，但在其他應用程序中是不可接受的。在這種情況下，NIST標準可以認識到對不同的應用程序來部署不同的算法的需求。另一方面，現有的協議可能需要進行修改，以處理更大的簽名或密鑰大小（如，使用消息分割）。新的應用程序的實現將需要適應后量子密碼學的需求，并允許新的方案能夠適應它們。事實上，后量子密碼學的需求實際上可能會塑造一些未來的應用標準。

算法的替換通常需要更改或替換密碼庫、實現驗證工具、實現或加速算法性能的硬件、依賴的操作系統和應用程序代碼、通信設備和協議，以及用戶和管理程序。需要更改或更換安全標準、程序和最佳實踐文檔，安裝、配置和管理文檔也是如此。當你決定替換一個算法時，有必要開發一本考慮到所有這些因素的劇本。劇本中的一些元素取決于被替換的算法和替換算法的特征。開發詳細的遷移劇本所需的其他元素可以在選擇替換算法并記錄下來之前進行確定——例如，系統的發現和文檔化 ，應用程序、協議以及使用或依賴于被替換的算法的其他基礎設施和使用元素。

從當前的一套公鑰算法遷移到后量子算法的先決條件是確定公鑰密碼學用在哪里以及用于什么目的。公鑰密碼學已經集成到現有的計算機和通信硬件、操作系統、應用程序、通信協議、關鍵基礎設施和公司中訪問控制機制。公鑰密碼學使用的示例包括：

• 用于提供源身份驗證和完整性身份驗證，以及支持不否定消息、文檔或存儲數據的數字簽名。
• 用于建立經過身份驗證的通信會話或為執行特定操作所提供的授權的身份驗證過程。
• 對稱密鑰（例如，密鑰包裝、數據加密和消息認證密鑰）和其他密鑰材料（例如，初始化向量）的密鑰傳輸。
• 權限授權流程

許多信息技術(IT)和操作技術(OT)系統依賴于公鑰密碼學，但許多組織沒有關于該密碼學使用地點的清單。這使得很難確定后量子算法需要在哪里以及使用什么優先級來取代當前的公鑰系統。迫切需要工具來促進發現在現有技術基礎設施中使用公鑰密碼學。

同樣，網絡安全標準和指導方針以及由此產生的操作指令和命令一般會規定或假定使用公共密鑰密碼學。目前還沒有 這些清單可以指導更新標準、指南和法規，以適應向后量子密碼學的遷移。

總結

以上是生活随笔為你收集整理的NIST Cybersecurity White Paper 2021的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。